文章列表
-
用 eBPF 精准定位 JVM 缺页中断(Page Fault)的实践指南
在 JVM 性能调优的深水区,很多开发者都会遇到一些“幽灵抖动”:GC 日志显示回收只花了 5 毫秒,但应用层监控(如 APM 拦截器)却记录了超过 100 毫秒的卡顿;或者伴随着物理机 CPU Sys 占比莫名增高,JVM 进程的 RS...
-
JVM 性能调优:AlwaysPreTouch 在 G1 GC 下的损耗与收益深度解密
在生产环境中,高并发、低延迟的 Java 服务常常会面临一些让人抓狂的“瞬时抖动”。有时候,GC 日志显示暂停时间(Pause Time)突然飙升,但堆内存并没有特别明显的异常。这种神秘的性能损耗,往往与 JVM 的内存分配行为以及操作系...
-
深度解析 Linux Direct Reclaim 导致 Java 应用 JVM GC 停顿与假死的底层机制
在日常的高并发 Java 服务维护中,你可能遇到过一种诡异的“假死”现象:系统监控显示 Java 进程的 CPU 使用率极低,但业务请求全部超时;查看 GC 日志,发现一次普通的 Young GC(甚至是 Mixed GC)停顿时间(ST...
-
Linux内核参数 vm.vfs_cache_pressure 深度解析:平衡内存回收与磁盘 I/O 的艺术
在 Linux 系统的性能调优中,我们经常会遇到内存被“吃光”的现象。通过 free -m 命令查看,往往会发现大半内存都被划归到了 buff/cache 下。这本身是 Linux 充分利用空闲内存提升 I/O 效率的优秀特性。 ...
-
Linux服务器内存被Slab/dentry挤爆?实战排查与内核优化指南
在日常维护Linux服务器时,你可能会遇到一个诡异的现象:使用 free -m 查看,发现可用内存(available)所剩无几,但用 top 或 ps 把所有进程的 RES (常驻内存)加起来,却发现根本对不上账。 几...
-
tmpfs 遭遇大规模死锁文件时,如何安全强制卸载且不污染内核常驻内存?
在 Linux 高并发、高负载的生产环境中, tmpfs 因其极高读写性能,常被用作缓存目录、 session 存储或容器内的临时文件系统。然而,由于 tmpfs 的所有数据和元数据都直接驻留在内核的 Page Cache 和 sh...
-
cgroups 限制 Linux 共享内存 shm 防止 OOM 攻击实战
在多租户环境、容器云平台或向外提供公共 API 服务的 Linux 主机上,共享内存(Shared Memory,简称 shm)常常是一个容易被安全人员忽略的资源漏洞。 由于默认情况下 POSIX 共享内存(挂载在 /dev/shm...
-
拒绝内核上下文切换:基于 memfd_create 与无锁环形队列构建高安全、极致性能的用户态 IPC
在传统的 Linux 系统中,跨进程通信(IPC)如管道(Pipe)、Unix Domain Socket(UDS)或消息队列,往往伴随着 内核态与用户态的上下文切换 以及 内存数据的二次拷贝 (用户态 $ rightarrow$ 内核缓...
-
用户态无驱动读取物理内存:技术可行性与主流实现方案
在现代操作系统中,虚拟内存机制(Virtual Memory)通过 CPU 的 MMU(内存管理单元)将物理内存完全隔离。用户态程序(Ring 3)默认只能看到虚拟地址空间,无法直接触碰物理地址。 在不加载自定义内核驱动(如 .ko...
-
绕过VT-x:如何通过物理内存安全扫描检测内核隐藏驱动
在内核安全对抗中,驱动隐藏是一项经典技术。无论是恶意的 Rootkit 还是某些反作弊系统的保护驱动,最常用的手段就是通过**直接内核对象操作(DKOM)**从 PsLoadedModuleList (已加载模块双向链表)中将自己摘除。...
-
无VT-x保护:如何在Windows内核中安全检测PTE劫持与页表篡改
在Windows内核安全对抗中,页表劫持(PTE Hijacking)是Rootkit和游戏外挂常用于实现内存隐藏、无痕Hook以及绕过PatchGuard的底层手段。在拥有硬件虚拟化(VT-x/EPT)的环境下,我们可以通过二级地址翻译...
-
硬件辅助虚拟化反作弊:如何防止作弊器通过修改PTE伪造物理地址
在现代游戏安全对抗中,内核级作弊器(Ring 0)与反作弊系统(HVAC,基于VMM的虚拟化反作弊)的博弈已延伸至硬件虚拟化层。作弊器为了规避反作弊系统对游戏内存的特征扫描,通常会避开常规的 ReadProcessMemory API...
-
高频EPT Violation监控下的游戏反作弊性能优化与异常合并方案
在现代游戏安全与反作弊对抗中,基于硬件辅助虚拟化(Intel VT-x / AMD-V)的监控技术已成为标配。通过操控扩展页表(EPT,Extended Page Tables),反作弊系统可以实现对关键内存地址的无钩子监控(Hookle...
-
绕过PatchGuard:基于Hypervisor EPT无感钩子的内核APC篡改防御方案
在现代Windows内核安全对抗中,内核级异步过程调用(APC)篡改与注入一直是高级威胁(如Rootkit、新型APT木马)青睐的隐蔽执行手段。传统的内核防护方案通常依赖于inline Hook(内联钩子)或SSDT Hook来拦截关键的...
-
深入Windows内核:APC注入的底层原理与检测对抗实践
在Windows操作系统安全对抗的博弈中,进程注入技术一直是攻防双方关注的焦点。传统的远程线程注入(如 CreateRemoteThread )由于API调用特征过于明显,早已被各大杀毒软件与EDR(Endpoint Detection...
-
Windows内核级异步派发:Special与Normal Kernel APC的底色差异与临界区设计哲学
在 Windows 内核的底层架构中,异步过程调用(APC,Asynchronous Procedure Call)是实现线程上下文切换、I/O 异步完成通知、以及线程终止等核心机制的基石。在内核模式下,APC 被细分为 Special...
-
挖掘 Windows 内核:用 WinDbg 探秘 APC 机制与线程唤醒的调度内幕
在 Windows 内核调优、驱动开发或排查死锁挂起等高级调试场景中,我们经常会遇到线程无法被正常唤醒的情况。许多时候,这背后的隐形推手就是 APC(Asynchronous Procedure Call,异步过程调用) 。 APC...
-
深度解析Windows线程调度器:从WaitReason看锁的退化轨迹
在多线程高并发的场景下,锁(Synchronization Primitives)是保证数据一致性的基石。然而,锁也是性能杀手。当多个线程激烈争夺同一个锁时,Windows 线程调度器(Dispatcher)就会介入,这会导致原本在用户态...
-
无调试器侵入:利用 ETW 实时检测高并发系统“临界区”锁竞争瓶颈
在高并发 Windows 系统(如游戏服务器、高频交易系统、数据库引擎)的性能调优中,**锁竞争(Lock Contention)**是吞吐量无法线性提升的罪魁祸首。 传统的排查手段存在致命缺陷: 挂载调试器(如 WinDb...
-
无符号如何排查死锁?手写 WinDbg JS 脚本实现启发式死锁链条自动扫描
在生产环境中遭遇进程卡死(Deadlock)是高频且棘手的问题。更糟糕的是,当我们拿到 Dump 文件时,往往面临**没有私有符号(Private Symbols)**的窘境。 此时,WinDbg 自带的 !locks 命令大概率...